Home

Ansvar, noen?

Submitted by xqus on Wed, 05/30/2007 - 20:05

Er det riktig at det er vi hobbyhackere som skal sørge for at sikkerhetshull i programvare oppdages og rettes, gratis?
De fleste sikkerhetshull som oppdages, oppdages nok av personer som gjør dette på fritiden, uten noe form for betaling utenom mestringsfølelsen det gir å oppnå noe slikt.
Da jeg i april 2007 oppdaget flere sikkerhetshull på en av Norges største rubrikkside fant jeg ut at jeg skulle prøve noe nytt. Jeg sendte en e-post der jeg opplyste om at jeg hadde oppdaget noen sikkerhetshull, og skrev videre at dersom det var ønskelig kunne jeg utarbeide detaljerte rapporter mot betaling. Jeg skrev også det at jeg ikke kom til å publisere noe informasjon uansett om de ønsket rapporter eller ikke før det var gått minst 30 dager. Jeg skrev også at jeg kun ville publisere informasjon om sikkerhetshullene dersom jeg anså den type informasjon for å være nyttig for offentligheten.

De fleste vet at 30 dager i en slik sammenheng er ganske mye, da mange hackere ofte utgir detaljer om sikkerhetshull uten å faktisk varsle produsenten på forhånd.

Resultatet av denne e-posten var et brev fra nettstedets advokat, med trusler om at dersom ikke "kravet om betaling" og "trusler om offentliggjøring" ble skriftlig avkreftet innen to dager, kom de til å anmelde meg for utpressing. Videre skrev de også at mine forsøk på å avdekke sikkerhetshullene kunne være å anse som forsøk på datainnbrudd, og at de tok forbehold om de skulle komme tilbake til det forholdet.
Jeg tar gjerne selvkritikk for innholdet i e-posten, jeg kan forstå hvorfor nettstedet reagerte slik de gjorde, men saken finn kjører mot rubrikk.no vitner om svært lite forståelse for internetts kultur, hensikt, mål og mening.

Verden er sånn i dag, at de med litt erfaring innenfor webutvikling kan oppdage et alvorlig sikkerhetshull på en nettside uten å egentlig legge noe arbeid i det. Spesielt de som faktisk er litt opptatt av datasikkerhet.

Så, hva gjør man når man oppdager en feil som kan gå utover din egen sikkerhet. For det er jo som regen på nettsteder man selv bruker at man snubler over slike feil. Jeg for mitt tilfelle vil gå tilbake til å skrive såkalte "full disclosure" rapporter uten å nevne noe til de ansvarlige først. Man blir jo truet med anmeldelser uansett.

Så kan man jo egentlig lure på hvor mye overnevnte nettsted måtte ut med for advokathjelp, og oppnår ikke noe annet enn "security by obscurity" isteden for å betale en hobbyhacker halvparten og få tettet sikkerhetshullene.
Eller vil de ikke betale en hacker for å skrive et dokument som de ikke har bestilt på forhånd? For det vil jo ikke vise noe annet enn at de tar sikkerheten til sine kunder på alvor.

Jeg kan også nevne at jeg for et års tid siden påpekte et sikkerhetshull på samme nettsted. Den gang sendte jeg full rapport til de med en gang. Feilen er enda ikke rettet.
Denne gangen fikk jeg ihvertfall et svar.

Tags:

Post new comment

The content of this field is kept private and will not be shown publicly.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd><pre><blockquote>
  • Lines and paragraphs break automatically.
  • Insert Flickr images: [flickr-photo:id=230452326,size=s] or [flickr-photoset:id=72157594262419167,size=m].

More information about formatting options

del.icio.us bookmarks

saved by 2 other people

RSS, XHTML, CSS

Drupal Themes Design by SEOposition.com